Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кибер-криминалци злоупотребуваат функција за е-пошта на Google Cloud во мултифазна фишинг кампања

Објавено: 05.01.2026

Истражувачите за сајбер-безбедност открија детали за фишинг кампања во која напаѓачите се претставуваат како легитимни пораки генерирани од Google, злоупотребувајќи ја услугата Application Integration на Google Cloud за дистрибуција на е-пораки.

Активноста, според Check Point, ја користи довербата поврзана со инфраструктурата на Google Cloud за да испраќа пораки од легитимна е-пошта („noreply-application-integration@google[.]com“), со цел да се заобиколат традиционалните филтри за е-пошта и да се зголеми шансата пораките да стигнат во inbox-от на корисниците.

„Пораките имитираат рутински известувања од компании, како предупредувања за говорни пошти или барања за пристап до фајлови, што ги прави да изгледаат нормално и доверливо за примачите,“ изјави компанијата за сајбер-безбедност.

Набљудувањата покажале дека напаѓачите испратиле 9.394 фишинг пораки насочени кон околу 3.200 корисници во период од 14 дена во декември 2025 година, а погодените организации се наоѓале во САД, Азија-Пацифик, Европа, Канада и Латинска Америка.

Сржта на кампањата е злоупотребата на задачата „Send Email“ во Application Integration, која им дозволува на корисниците да испраќаат прилагодени известувања од интеграцијата. Google во својата документација наведува дека на задачата може да се додадат максимум 30 примачи.

Фактот дека овие е-пораки можат да се испраќаат на било кои е-адреси ја покажува способноста на напаѓачите да злоупотребат легитимна автоматизација за нивна корист, испраќајќи пораки од Google-ови домени, со што ефективно заобиколуваат DMARC и SPF проверки.

„За да ја зголемат довербата, пораките многу внимателно го следеа стилот и структурата на Google известувањата, вклучувајќи препознатливо форматирање и јазик,“ додаде Check Point. „Мамките често се однесуваа на говорни пораки или тврдења дека примачот добил пристап до споделен фајл, како на пример ‘Q4’ фајл, што ги поттикнуваше примачите да кликнат на вградените линкови и веднаш да преземат акција.“

Целата нападна низа е мултифазен редирекциони тек, кој започнува кога примачот на е-пораката кликне на линк хостиран на storage.cloud.google[.]com, друга доверлива услуга на Google Cloud. Овој метод е насочен кон намалување на сомнежот кај корисникот и додавање на привид на легитимност.

Линкот потоа го пренасочува корисникот кон содржина хостирана на googleusercontent[.]com, каде се прикажува лажен CAPTCHA или верификација базирана на слика, што служи како бариера против автоматски скенери и безбедносни алатки, додека реалните корисници можат да продолжат.

Откако фазата на верификација е завршена, корисникот се пренасочува на лажна Microsoft страница за најава, хостирана на домен кој не е Microsoft, со што се крадат сите внесени креденцијали од жртвите.

Во одговор на наодите, Google ги блокираше фишинг обидите кои ја злоупотребуваат функцијата за известувања во Google Cloud Application Integration и најави дека презема дополнителни мерки за спречување понатамошна злоупотреба.

Анализата на Check Point открила дека кампањата главно била насочена кон сектори како производство, технологија, финансии, професионални услуги и малопродажба, но биле погодени и други индустриски вертикали, вклучувајќи медиуми, образование, здравство, енергија, влада, туризам и транспорт.

„Овие сектори често се потпираат на автоматизирани известувања, споделени документи и работни текови базирани на дозволи, што ги прави Google-ови известувања особено убедливи,“ додаде компанијата. „Кампањата ја покажува способноста на напаѓачите да злоупотребат легитимни функции за автоматизација и работни текови во облак за да дистрибуираат фишинг на голема скала без традиционално спуфиње.“

Ажурирање

Двете компании, xorlab и Ravenmail, открија детали за кампањата за собирање креденцијали, при што xorlab наведува дека нападите се користат и за OAuth consent фишинг, како и за хостирање на лажни страници за најава во Amazon Web Services (AWS) S3 buckets.

„Напаѓачите ги измамуваат жртвите да дозволат на злонамерна Azure AD апликација пристап до нивните облачни ресурси – со што добиваат пристап до Azure subscriptions, виртуелни машини, складишта и бази на податоци преку делегирани дозволи кои остануваат активни преку access и refresh tokens,“ соопшти xorlab.

„Секој чекор користи доверлива инфраструктура – Google, Microsoft, AWS – што го прави нападот тешко детектибилен или блокиран на било која поединечна точка. Без разлика на влезната точка, жртвите на крајот стигнуваат до Microsoft 365 страница за најава, откривајќи го главниот цел на напаѓачите: M365 креденцијали.“

Извори:

  • The Hacker News – Cybercriminals Abuse Google Cloud Email Feature in Multi-Stage Phishing Campaign The Hacker News